Geek Pau pra toda obra: 6 dicas para ter 100 por cento de conformidade com o WSUS
O WSUS é praticamente a única solução principal de gerenciamento de atualizações, mas você pode fazer com que ele funcione ainda melhor.
Por Greg Shields
Windows Server Update Services (WSUS) é verdadeiramente de uma das realizações notáveis da Microsoft. Muitos de nós Lembre-se de seu predecessor, Software Update Services (SUS). Naquela época, atualizações de software chegaram com pouco agendas de avisos e imprevisíveis. Havia dezenas de soluções de gerenciamento de patches no mercado, cada uma maneira original de trazer ordem para a investida de atualizações críticas de publicidade.
Depois veio o WSUS, e com ele a cultura das soluções de gerenciamento de patches parecia secar. Estando quase sozinho, WSUS reina supremo como a solução de gerenciamento de patches da Microsoft para as massas. Por quê? Porque ele funciona.
Muitos data centers utilizam um servidor WSUS para gerenciar suas atualizações do Windows. Ainda mais usam o cliente do WSUS — o Windows Update Agent — para a instalação de código executável do cada atualização. No entanto, muitos ainda lutam para implantar atualizações de forma atempada. Como chegar a 100 por cento conformidade durante a noite é um objetivo elevado, mesmo se nós sempre não fazê-lo.
Muitos profissionais de Jack-of-all-trades ele não reconhecem que algumas das melhores maneiras de implementar o WSUS não são as mais óbvias. Alguns não estão mesmo falha. Gostaria de compartilhar algumas das mais-bem sucedida truques que ajudarão você a suavizar seu processo de atualização.
1. Não permita que os usuários ou reinicializações de controle de atualizações
Obter a conformidade de 100 por cento atualização requer duas etapas básicas: Em primeiro lugar, você tem que instalar a atualização.em segundo lugar, você deve reiniciar o computador. Você deve realizar dois passos para o computador ser considerado conforme. WSUS fica aquém de como ele lida com a etapa de reinicialização.
A maioria de vocês não querem incomodar os usuários com uma reinicialização pós-atualização. Dando início a reinicialização durante o dia de trabalho irrita os usuários e pode fazer com que trabalho perdido. É por isso que há sempre a opção de permitir que os usuários adiar a reinicialização. Adiar uma reinicialização, dá um tempo de usuário para terminar o que estão fazendo e desligar o computador normalmente. No entanto, adiar a reinicialização pode atrasar a atender a 100 por cento.
Outra opção é anexar um prazo a cada atualização aprovada. Que estabelece uma data e hora quando a instalação e reiniciar devem estar completas. Você absolutamente vai forçar computadores reiniciar depois do prazo passa. O problema aqui é com computadores que foram alimentados para baixo ou fora da rede durante o período de prazo. Esses computadores serão remendados e posteriormente reinicializados depois que estiver ligados novamente ou quando eles se reconectar à rede. Isso não é uma boa solução.
A melhor maneira de controlar reinicializações é removê-los do WSUS completamente. Crie um script que reinicia cada computador ao mesmo tempo. Agende o script seja executado depois que os usuários deixam para o dia. Você pode atualizar sistemas sempre que quiser, saber que seu script externo reinicialização será concluir o processo.
Por exemplo, identificar uma janela de tempo quando você vai reiniciar cada desktop na rede — digamos que quarta-feira e sábados de manhã entre 2: 00 AM. e as 4: 00 horas. Socialize esta "janela de reinicialização" para os usuários, para que eles saibam para salvar seu trabalho. Em seguida, construa-se um pequeno script que reinicia cada área de trabalho ao mesmo tempo. Você pode baixar um exemplo um de $concentratedtech.com/download $. Use o Agendador de tarefas para executar esse script toda semana durante suas janelas de reinicialização.
Algumas configurações de diretiva de grupo podem ajudar com esta situação: Habilitar a diretiva de não configuração "Nenhuma reinicialização automática com usuários conectados para instalações de atualizações automáticas agendadas." Isso impedirá a instalação de uma atualização de reiniciar o computador.
A configuração de diretiva "configurar atualizações automáticas," definir o valor como 4 e certificar-se de que o tempo de instalação ocorre antes de sua janela de reinicialização. Ativar a política "Permitir atualizações imediatas instalação automática" também ajuda, como ele imediatamente instala as atualizações que não requerem uma reinicialização. Por último, se você deseja bloquear essas configurações para baixo mesmo para os administradores, você pode habilitar o configuração de usuário política "Remover acesso usar todos os recursos do Windows Update".
Reconfiguração do WSUS desta forma separa a etapa de reinicialização da etapa de instalação e dá-lhe muito melhor controle sobre chegar a 100 por cento conformidade durante a noite.
2. Use a API do WSUS para remendar um computador imediatamente
IT caras constantemente perguntam-me, "Existe uma maneira de usar o WSUS para corrigir um computador imediatamente?" Eles estão cansados de esperar por atualizações baseadas em tempo do WSUS. Eles querem imediato controle sobre quando computadores obter remendados, especialmente com os servidores.
Há uma maneira, embora não é exposto na GUI do WSUS. WSUS tem também exposição através de uma API de script. Usando essa API e seu favorita linguagem de script, você pode instruir Windows Update Agent do qualquer cliente para reunir e instalar atualizações aprovadas do servidor WSUS. O agente será mesmo reinicie o computador imediatamente se atualizações exigem uma reinicialização para instalação.
A parte mais difícil é na construção de um script que vai realizar a tarefa. Você encontrará dois scripts em concentratedtech.com/download . O primeiro é executado no computador que necessitam de atualizações. Ele vai baixar atualizações aprovadas, instalá-los e reinicie o computador se necessário. A segunda usa a ferramenta Microsoft nifty PSExec remotamente lançar o primeiro script em vários computadores em sua rede.
Estes dois scripts são úteis para servidores de aplicação de patches. Você pode dizer seus servidores para corrigir e reiniciar-se imediatamente, sem ter que esperar pelo timer de relógio na parede do WSUS começar.
3. Ativar os computadores com a diretiva de grupo
À direita onde são armazenadas as outras configurações de diretiva de grupo do WSUS, você encontrará um nomeado permitindo Windows Update gerenciamento de energia. Isso automaticamente vai acordar o sistema para instalar atualizações agendadas.
Muitos de nós configurar nossos computadores para mover para Estados de baixa energia quando não estiver em uso, tais como desligar a tela ou mesmo dormindo no computador. O problema é que um computador em repouso não será acordado para a instalação de atualizações no meio da noite.
A habilitação dessa configuração instrui o Windows Update para ativar automaticamente os computadores dormindo quando é hora de atualizar. Depois de concluído, os computadores irão retornar para um modo de suspensão depois de dois minutos.
4. Implementar um WSUS voltados para a Internet
Os funcionários que raramente se conectam à LAN interna são outro desafio. Esses laptops são propriedade da empresa, mas opções de gerenciamento são limitadas porque eles são raramente na rede. Para assegurar que esses computadores obter patches, muitos usuários são forçados a atualização public Web site da Microsoft. Lá, eles vão começar cada patch que Microsoft considere adequada.
Como você pode imaginar, há vários problemas com essa abordagem. A maioria de nós deseja determinar quais patches estão instalados. Queremos testar e aprovar patches para nós pode extirpar os sabemos causam problemas. Precisamos também relatórios sobre patches sucesso, para impedir que um computador sem patch infecte nossa rede.
Uma maneira de fazer isso (e alcançar a conformidade de 100 por cento durante a noite) é com um servidor WSUS voltados para a Internet. Esse tipo de servidor pode atender às necessidades de gerenciamento de patches para os usuários que são raramente no escritório. Servidores WSUS de Internet normalmente não contêm dados de atualização real. Em vez disso, eles apontam clientes Windows Update para atualização de conteúdo.
Este permite que você controle quais patches você implantar ao mesmo tempo, transferindo a responsabilidade de distribuição de patches para servidores da Microsoft. Esses servidores também tendem a ser protegido contra usuários inadequados através do uso de certificados SSL e um servidor de banco de dados separado.
5. Considere a aceleração de BranchCache
Atingir 100 por cento conformidade durante a noite exige que os clientes rapidamente patches. Ele também requer rapidamente distribuir atualizações em toda a hierarquia do WSUS. Infelizmente, essa distribuição rápida de conteúdo e metadados nem sempre é possível se você tiver encadeadas vários servidores WSUS. A freqüência de detecção de atualizações automáticas e algumas conexões de rede de escritório filial latente são as questões aqui.
Se você estiver usando o Windows Server 2008 R2, você pode substituir os servidores WSUS encadeados com o BranchCache, uma solução de aceleração de conteúdo que armazena documentos para os usuários em escritórios remotos. Você também pode usar o BranchCache para acelerar a implantação de atualizações.
Instale o BranchCache no servidor WSUS. Em seguida, use a diretiva de grupo para ligar para os clientes de Windows 7 em escritórios remotos. Finalmente, aponte os clientes de escritório remoto para o escritório principal servidor WSUS para suas atualizações.
Usando o modo de Cache distribuído BranchCache, Windows 7 computadores no local remoto irão compartilhar conteúdo WSUS depois que ele é baixado. Isso acelera a distribuição de atualização sem saturar sua conexão de rede.
O cache real em BranchCache é completamente transparente para o cliente. Isso significa aceleração funcionará uma vez habilitado para todo o conteúdo baixado de um servidor habilitado para BranchCache. Como resultado, você pode se livrar de seus servidores WSUS locais remotos e remove uma etapa na distribuição de atualização.
6. Mantenha seu banco de dados do WSUS limpo
Esta última dica pode sentir como fazer batota, mas é um passo importante no sentido de obter a conformidade de 100 por cento. Eliminar expirados computadores do banco de dados WSUS remove-los de seus contadores de conformidade. Se um computador já não existe, ele nunca irá relatar conformidade e você nunca vai ver 100 por cento.
WSUS inclui um Assistente de limpeza, que deve ser usada em uma base regular. Ele irá remover computadores já não entrar em contato com o servidor, bem como eliminar atualizações desnecessárias.
Tenho partilha estas sugestões aos clientes durante anos. Todos eles relatório melhorias significativas em seu tempo ao pleno cumprimento. Você pode chegar lá, também. Se você não puder, me avise. Compartilhe seus problemas em concentratedtech.com/WSUSGuarantee .
.jpg)
Greg Shields MVP, é um parceiro em Concentrated Technology. Obtenha mais dos escudos Jack-of-all-Trades dicas e truques em ConcentratedTech.com.
Obter reconhecida por suas melhores dicas
Tem um administrador do Windows Jack-Of-All-Trades (JOAT)? São responsáveis por redes, servidores, impressoras e tudo in-between? Em caso afirmativo, você certamente desenvolveu algumas dicas úteis e truques para manter os servidores que executam. Interessado em partilhar? Geek de all Trades colunista da TechNet Magazine Greg Shields está à procura de algumas boas dicas para uma próxima coluna, e ele está buscando sua ajuda.
Tenho uma dica inteligente para gerenciar seus servidores Windows? Descobri uma tática bacana para manter desktops em execução? Cuidados para compartilhar um truque secreto para gerenciar seu ambiente de TI? "Top 20 IT dicas Greg" aparecerá em uma próxima edição da TechNet Magazine. Lá, ele vai reconhecer os top 20 mais inteligentes JOATs IT na indústria ao lado de sua revolucionária dica ou truque. Submeta seu hoje! Obter o seu nome na impressão, exaltar as virtudes e lembrar por que são os que realizar o trabalho real. Envie suas sugestões para gshields@concentratedtech.com. Cada dica apresentada irá obter uma resposta.
— G.S.